Microsoft corrige 4 Falhas adicionais do Exchange

Views: 357
0 0
Read Time:3 Minute, 30 Second

A Microsoft emitiu patches na terça-feira para quatro novas vulnerabilidades críticas no software Exchange Server da empresa. As falhas foram descobertas pela Agência de Segurança Nacional dos EUA e divulgadas à Microsoft.

A empresa diz que os clientes que utilizam o Exchange no local devem priorizar esses patches.

“Não vimos as vulnerabilidades usadas em ataques contra nossos clientes. No entanto, dado o recente foco adversário no Exchange, recomendamos que os clientes instalem as atualizações o mais rápido possível para garantir que eles permaneçam protegidos contra essas e outras ameaças”, diz o Microsoft Security Response Center.

A NSA juntou-se à Microsoft para pedir aos usuários que fizessem as atualizações imediatamente.

“O governo dos EUA liderará pelo exemplo – estamos exigindo que todas as agências remendem imediatamente seus servidores do Exchange também”, diz Anne Neuberger, vice-conselheira de segurança nacional para tecnologia cibernética e emergente. “A segurança cibernética é uma prioridade máxima para a administração Biden, e estamos comprometidos em compartilhar informações acionáveis e oportunas para ajudar o público americano a operar com segurança on-line.”

No início de março, a Microsoft corrigiu outras quatro vulnerabilidades no Exchange. A empresa acredita que um grupo com sede na China que chama de Hafnium explorou as falhas para obter acesso persistente a sistemas de e-mail, mas pesquisadores dizem que vários grupos criminosos exploraram a falha.

O RiskIQ estimou que, em meados de março, cerca de 400.000 servidores do Exchange no local estavam vulneráveis. A Microsoft informou que, em 26 de março, mais de 92%, ou cerca de 368.000, havia sido corrigida ou atenuada.

Em uma ação sem precedentes, o FBI está agora removendo shells web de servidores microsoft exchange no local em organizações em pelo menos oito estados que foram infectados em uma onda de ataques no início deste ano.

Vulnerabilidades adicionais de troca

As quatro vulnerabilidades recém-corrigidas são rastreadas como CVE-2021-28480CVE-2021-28481CVE-2021-28482 e CVE-2021-28483. Tudo pode levar à execução remota de código se explorado, diz a Microsoft. Em seu índice de explorabilidade, a empresa classifica cada vulnerabilidade como “exploração mais provável”, que é apenas um slot abaixo da classificação mais severa – “exploração detectada”.

“Duas das quatro vulnerabilidades (CVE-2021-28480, CVE-2021-28481) são pré-autenticação, o que significa que um invasor não precisa autenticar ao servidor exchange vulnerável para explorar a falha”, diz Satnam Narang, engenheiro de pesquisa da Tenable. “Com o intenso interesse no Exchange Server desde o mês passado, é crucial que as organizações apliquem esses patches do Exchange Server imediatamente.”

Chris Goettl, diretor sênior de segurança da Ivanti, não acredita que essas sejam as últimas vulnerabilidades da Exchange a serem divulgadas.

“Na esteira de uma atividade de exploração séria no Microsoft Exchange, você pode esperar que analistas de segurança da NSA encontrem mais vulnerabilidades”, diz Goettl. “Os atores de ameaças também estão se espalhando pelo Microsoft Exchange para ver o que mais eles podem encontrar também.”

Zero-Day Revelado

Em outros movimentos de patches, a Microsoft também emitiu um patch para a vulnerabilidade de zero-day CVE-2021-28310 no Desktop Window Manager que foi descoberto pela Kaspersky, que acredita que a vulnerabilidade está sendo explorada na natureza, possivelmente por vários grupos de ameaças.

“É uma escalada de exploração de privilégios que provavelmente é usada em conjunto com outras explorações de navegador para escapar de caixas de areia ou obter privilégios do sistema para acesso adicional”, diz Kaspersky.

Os pesquisadores da Kaspersky dizem que não conseguiram capturar uma cadeia completa, então eles não sabem se a exploração está sendo usada com outro navegador zero-day ou sendo acoplado a vulnerabilidades conhecidas e corrigidas. A falha de zero-day é uma vulnerabilidade de gravação fora dos limites em dwmcore.dll, que faz parte do Desktop Window Manager. Devido à falta de verificação de limites, os atacantes podem criar uma situação que lhes permita escrever dados controlados em um deslocamento controlado usando API directcomposition, diz Kaspersky.

“Isso permitiria que um invasor executasse código arbitrário, criasse novas contas com privilégios completos, acessasse e/ou excluísse dados e instalasse programas”, diz Narang.

FONTE: BANKINFO SECURITY

POSTS RELACIONADOS